📦 Правильный DevSecOps в эпоху Glassworm и CanisterWorm

Атаки на инфраструктуру разработки ПО приобрели промышленный масштаб. Следом за резонансным «червём» Shai-Hulud последовали более изощрённые угрозы, такие как идущие прямо сейчас кампании GlassWorm и CanisterWorm, охватившие сотни репозиториев в GitHub, npm и VSCode. Зловреды такого типа оптимизированы под рабочие процессы в разработке ПО, выуживая секреты CI, компрометируя сборочный конвейер и решая широкий спектр задач — от шпионажа до криптомайнинга. Число инфицированных пакетов перевалило за миллион.

Кроме вредоносных образов, серьёзной ежедневной проблемой являются ошибки в конфигурации облачных сред, из-за которых происходят утечки данных или злоупотребление вычислительной инфраструктурой. По статистике Wiz, 54% облачных сред открывают ошибочный доступ к важным данным, а 35% критически уязвимы и одновременно содержат важные данные.

Учитывая, что современная инфраструктура чаще всего выглядит как набор контейнеров, эшелонированная защита должна быть адаптирована к этим реалиям. Например, Kaspersky Container Security обеспечивает комплексную защиту контейнерных сред и приложений, объединяя контроль оркестрации, реестров, образов и конвейеров разработки. Решение покрывает полный цикл жизни ПО, благодаря модулю сканирования образов (сканирование на ВПО, уязвимости, секреты, ошибки конфигурации, нарушения политик) и агентам защиты выполняемых контейнеров и оркестратора (входной контроль, контроль трафика, процессов и файловых операций во время работы, профилирование контейнеров, и т.п.).

Но даже с такой «круговой» защитой, узким горлышком остаётся дефицит времени у команды ИБ для детального разбора ситуации с каждым образом и предупреждением, порой мешает и отсутствие нишевой экспертизы. Обе проблемы решают новые функции, появившиеся в Kaspersky Container Security 2.4.

В решении можно подключить фирменного ИИ-ассистента «Лаборатории Касперского», KIRA, или любую LLM, используемую в компании и работающую по API OpenAI. Модель может интерпретировать результаты сканирования образа контейнер, преобразовав их а в понятный текст с описанием функций, процесса работы образа, найденных рисков безопасности и рекомендаций по их устранению.

Для использования KIRA нужно приобрести лицензию KCS Advanced Pro. В ней же в 3 квартале появится механизм «лучших практик», позволяющий задать собственные политики Rego через наглядный редактор и анализировать контейнерные образы на соответствие особым, внутренним политикам безопасности, комбинировать новые и существующие виды проверок.

В новой версии есть и другие улучшения, такие как оптимизированная проверка крупных образов и поддержка корпоративных порталов аутентификации (SSO). Подробнее об этом можно узнать на странице продукта.

#советы @П2Т

👌ИИ и кибербезопасность: что нас ждёт
 
За последний год ИИ успел серьёзно изменить и мир, и рынок ИБ.  Было много шумихи, завышенных обещаний и громких фиаско, но за этой завесой происходят и реальные, весомые перемены. Большие языковые модели стали частью рабочих процессов, и эти процессы теперь уязвимы к новым типам атак. На нашем онлайн-стриме разберёмся, что происходит прямо сейчас, а к чему готовиться в ближайшие годы.
 
Обсудим:
 
▶️ удалось ли справиться с prompt-инъекциями или хотя бы снизить их частоту;
▶️ действительно ли киберпреступники уже применяют системы на базе языковых моделей для проведения атак и как на это могут отвечать компании;
▶️ меняет ли ИИ те инструменты обеспечения безопасности организаций, которые доступны ИБ-специалистам;
▶️ роль и задачи центра экспертизы ИИ «Лаборатории Касперского» в новом ландшафте угроз;
▶️ ключевые тренды ИИ в кибербезопасности и то, как они будут формировать 2026 год и последующие годы.
 
Формат — открытая, но предметная беседа с экспертами: Владиславом Тушкановым, Олегом Горобцом и Андреем Гунькиным.
 
Встречаемся в следующий четверг:  9 апреля 2026 в 11:00 (МСК).
Нужна предварительная регистрация.
 
Зарезервировать место на стриме ⟶

#события @П2Т

📠 Методичка по защите DNS

NIST впервые с 2013 года обновил рекомендации по защите DNS. Нам, конечно, NIST не указ, но вещи внутри написаны полезные, поэтому стоит внимательно их изучить и использовать на практике.

SP 800-81r3 отражает практические изменения в том, как DNS используется, подвергается атакам, как эволюционировали подходы к защите. Отметим три тенденции:

1️⃣ DNS перестал быть просто частью «трубопровода Интернета» и стал самостоятельным уровнем контроля и применения политик ИБ. Обновлённые рекомендации формально позиционируют DNS как активную точку управления: блокировка вредоносных доменов, категорийная фильтрация, генерация журналов для расследования инцидентов. Организациям предлагается выстраивать безопасную инфраструктуру DNS в гибридной модели: облачный сервис плюс серверы on-prem, чтобы временная недоступность провайдера не обнуляла защиту. Критически важно, чтобы журналы запросов DNS поступали в SIEM и коррелировались с DHCP‑записями — это позволяет при реагировании на инциденты привязать IP‑адреса к конкретным устройствам.

2️⃣ Шифрованный DNS сдвигает точку применения политик и контроля. Рекомендации охватывают DoT, DoH и DoQ. После внедрения зашифрованного DNS, сам сервер становится основным узлом детектирования и контроля политик, а его защита и мониторинг — приоритетным задачами. Отдельно подчёркнута практическая проблема: браузеры и приложения с собственными реализациями DoH/DoT могут тихо обходить корпоративный DNS, нарушая централизованный аудит и управление доступом.

3️⃣ Обновлены рекомендации по алгоритмам DNSSEC. В приоритете теперь ECDSA, Ed25519 и Ed448 вместо RSA — в первую очередь из‑за меньшего размера ключей, что позволяет укладываться в лимиты UDP. Для подписей RRSIG предлагаются сроки действия в 5–7 дней, чтобы сузить окно, когда возможно причинение ущерба при компрометации ключа. Для хранения приватных ключей NIST рекомендует использовать аппаратные криптографические модули HSM. Постквантовый DNSSEC пока не описан в виде конкретных рекомендаций. В документе прямо говорится, что миграция будет необходима, как только стандарты и инструментарий дозреют.

Помимо криптографии, руководство поднимает важные, но часто игнорируемые вопросы гигиены DNS: устаревшие записи CNAME, указывающие на уже несуществующие домены, «lame delegations», создающие возможность перехвата поддоменов, риск повторной регистрации выведенных из эксплуатации доменов злоумышленниками. Все эти проблемы регулярно эксплуатируются в реальных атаках и при этом систематически не попадают в списки проверок на аудитах.

NIST также повторно подчеркнул рекомендацию из версии 2013 года — разделять функции авторитетных и рекурсивных DNS на внешних DNS‑серверах. Тот факт, что совет приходится повторять, недвусмысленно намекает, что это по‑прежнему массово игнорируется.

📌 Полный PDF

#советы @П2Т

🔥 Новые приключения open source, интересные исследования APT и другие новости ИБ за неделю

🐀 Разбор нового ВПО CrystalX RAT, распространяемого по модели MaaS. Зловред написан на Go и объединяет в одном пакете функции шпионажа, удалённого доступа и редкий нынче жанр prankware. Это всякие розыгрыши: поворот экрана, замена функций кнопки мыши, замена фона рабочего стола, отключение периферии. Более привычные функции — кража учёток из браузеров, приложений Steam, Discord и Telegram, удалённый доступ в стиле VNC и захват видео с веб‑камеры, кража криптовалюты.

😱 Появились новые детали громкой атаки на цепочку поставок Axios. UNC1069 (кластер BlueNoroff) провела многоходовую социоинженерную атаку на разработчиков популярных npm‑пакетов, включая Axios, Lodash, dotenv и Express. Атакующие представлялись рекрутёрами крупных компаний, неделями выстраивали доверие, а затем уговаривали перейти в поддельные созвоны Teams или Streamyard, во время которых пытались заразить жертв ВПО. Если вам показалось, что это похоже на ранее описанную нами кампанию GhostHire, вам не показалось.
Учитывая масштаб атаки и перечень атакованных пакетов, любой разработчик просто обязан сделать закрепление версий зависимостей своей базовой инженерной практикой.

🧝‍♂️Разбор компактного Linux‑бэкдора для кражи учётных данных, используемого APT41. Имплант общается по SMTP с доменами, похожими на названия известных ИТ‑компаний. В реальности все С2 размещены в инфраструктуре Alibaba Cloud в Сингапуре.

🔵APT-группировка UAT-10608 запустила автоматизированную кампанию, в которой хосты компрометируют с помощью CVE-2025-55182 (React2Shell), после чего прочёсывают их в поисках учётных записей БД, API‑ключей Stripe и других секретов.

🔵После утечки исходников Claude Code злоумышленники менее чем за сутки адаптировали свои кампании ИИ-тематики и начали распространять инфостилер Vidar и прокси‑ВПО GhostSocks под видом слитого кода.

🟢Google/Mandiant опубликовали практическое руководство по защите сред VMWare vSphere от ВПО BRICKSTORM. Руководство описывает четырёхфазный план по усилению безопасности и включает готовый скрипт для харденинга vCenter.

🟠APT TA416 возобновила шпионские кампании против дипломатических и госструктур в Европе и на Ближнем Востоке, используя собственную разновидность ВПО PlugX.

🟢Разбор кампании по краже паролей в военных и оборонных структурах Пакистана и Бангладеш. APT Sidewinder задействовала восемь PaaS‑платформ, полностью отказавшись от классического хостинга.

🔵Интересный нюанс в кампании против российских промышленных и оборонных организаций, где APT Cloud Atlas, судя по всему, покупала доступ у брокера Mustard Tempest. Последний использует ВПО SocGholish/FakeUpdates, распространяя его через 500+ взломанных сайтов на WordPress.

🔴Фишинг с компрометацией аккаунтов через коды устройств (device code) стал массовой техникой: в 2026 году уже зафиксирован рост числа фишинговых страниц этой категории в 37,5 раза. Методику, которой раньше пользовались только 2-3 продвинутые APT, взяли на вооружение фишинговые платформы EvilTokens и девять других.

🍏 Стилер SparkCat с OCR‑функциональностью снова вернулся и в App Store, и в Google Play.

📱 Разбор кампании NoVoice с Android‑руткиитом, распространявшимся через 50 приложений в Google Play с общим числом установок минимум 2,3 млн. Приложения профилировали устройство и подгружали подходящий код эксплуатации для получения прав root. На старых версиях Android заражение переживает сброс к заводским настройкам, и очистка возможна только перепрошивкой.

👮‍♂️Обновлённые TTPs банды Akira. Операторы проводят полный цикл атаки от первичного доступа до шифрования менее чем за один час.

#дайджест #APT @П2Т

😵‍💫 Дипфейки и передел ИИ-собственности

Мы обычно не пишем про взломы и утечки, но тут заваривается интересная каша, поэтому сделаем исключение. Среди жертв атаки на цепочку поставок с компрометацией LiteLLM, о которой мы писали, отметился модный стартап Mercor. Их иногда называют «AI recruiting startup», но на самом деле их бизнес — производство обучающих данных для крупнейших игроков ИИ, включая OpenAI и Anthropic. Mercor находят нишевых экспертов в различных областях и платят им за производство данных и оценку ответов модели. Компания заявляла, что ежедневно выплачивает таким экспертам около 2 млн. дол. Сам Mercor подтвердил утечку и назвал первопричиной взлом LiteLLM, но наотрез отказался сообщить что-либо о последствиях (а спрашивали ведущие мировые СМИ).

Впрочем, за Mercor это сделали злоумышленники, опубликовав от имени Lapsus$ объявление о продаже 4 Тб слитых данных, включая 211 Гб баз данных, резюме кандидатов и фото их паспортов, записи видеоинтервью, почти терабайт исходных кодов, и тому подобное. Конечно, анонсам злоумышленников веры нет, но как минимум пару видеоинтервью посмотрели в TechCrunch.

Это означает, что в руки злоумышленников вероятно попала качественная база данных, в которой реальные документы реальных людей, экспертов в различных областях, сопровождаются видео этих людей, создавая обширные возможности для производства убедительных дипфейков. Применять их можно как в мошенническом трудоустройстве, освоенном Lazarus, так и в финансовых аферах. Службам антифрода приготовиться.

Другое возможное последствие утечки — публикация интеллектуальной собственности ведущих ИИ-лабораторий. Причём не исходников (интересно, но вряд ли уникально), а информации, напрямую связанной с обучением их моделей. Многие из них поставили сотрудничество с Mercor на паузу, но в утечке скорее всего уже есть информация о том, какие наборы данных, в каких областях, и каким образом они собирают. А возможно и сами размеченные данные.

Интересно и то, что продают данные Lapsus$, тогда как компрометацию LiteLLM осуществила группировка TeamPCP/UNC6780. Опрошенные Wired эксперты называют маловероятным, что объявление об утечке дала оригинальная банда Lapsus$, вероятней всего, это просто прикрытие.

Будем следить за развитием сюжета.

#новости @П2Т

🗣Эволюция управления уязвимостями

Когда: 8 апреля 2026 в 11:00 и 15:00 (МСК)

2026 год по всем прогнозам станет рекордным по числу новых уязвимостей, причём не исключён сценарий, что их количество перевалит за сто тысяч. При этом управление уязвимостями (VM) в ИТ-инфраструктуре остаётся одним из самых болезненных вопросов для ИБ-команды. Тут смешано всё: организационные процессы, технологические сложности и взаимоотношения отделов. Отсутствие любого из ингредиентов превращает VM в имитацию. Как правильно организовать VM, сколько это стоит, и какие практические лайфхаки помогают запустить процесс, поговорим на онлайн-конференции AM-Live!

Тема довольно обширная, поэтому мероприятие пройдёт в двух частях.

Темы первой части (в 11:00):
▶️почему компании тонут в уязвимостях и не успевают их закрывать;
▶️как проводить оценку / подтверждение уязвимости;
▶️оценка приоритета и времени на закрытие уязвимости;
▶️сколько стоят платформы VM и как сэкономить бюджет при покупке;
▶️какие регламенты нужны, чтобы процесс работал и не зависел от людей.

Темы второй, практической части (в 15:00):
▶️по каким сигналам понять, что без полноценного процесса управления уязвимостями в компании уже не обойтись;
▶️какие самые частые заблуждения тормозят внедрение управления уязвимостями;
▶️какая типовая ошибка на старте VM встречается чаще всего и как её избежать;
▶️что из задач VM уже можно доверить ИИ.

👤 От «Лаборатории Касперского» выступят Мария Погребняк и Максим Лызаев.

Встречаемся уже завтра: 8 апреля 2026
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🔼 Эволюция Эскалация атак на цепочку поставок в 2025 году

В последние дни открывать мировые новости ИБ уже даже как-то страшновато — после Trivy, LiteLLM и Axios возникает неприятный вопрос «а что дальше». Чтобы немного снизить стресс, посмотрим в другую сторону. Мы собрали крупнейшие и самые значимые инциденты с атаками supply chain за прошлый год, и на такой временной шкале явно видна тенденция. Атаки нарастают в частоте, масштабе и сложности. Злоумышленники поняли все преимущества атак на open source, а главное — научились проводить их более гладко. От эффектной, но неэффективной атаки s1ngularity до вполне себе убойного Shai Hulud 2.0 прошло всего три месяца.

О сложных, но всё более важных мерах, помогающих предотвратить подобные атаки, мы отдельно писали здесь.

#советы @П2Т

⚡️ В Android появится постквантовое шифрование, день Q перенесён на 2029

В Google анонсировали глубокую поддержку постквантовой криптографии (ПКШ) в Android 17. Процесс безопасной загрузки Android (Android Verified Boot, AVB), будет подписан с помощью алгоритма ML-DSA, одного из уже стандартизованных американским NIST. В хранилище ключей Android также внедрена поддержка этого алгоритма, что позволит в ближайшем будущем начать подписывать приложения в Google Play цифровыми подписями, устойчивыми к взлому на квантовом компьютере.

Хотя этим компьютером грозят уже лет двадцать, в последнее время Маунтин Вью явно что-то подозревает, потому что регулярно приближает оценки «дня Q» (Q-day), когда квантовый компьютер станет проводить полезные прикладные вычисления в области криптографии быстрее классического. Одновременно с анонсами ПКШ в Android сотрудники Google опубликовали отдельный краткий пост, в котором этот день назначен теперь уже на 2029 год.

Среди свежих научных работ, которые вызывают тревогу крупных ИТ-игроков (не только Google), отметим:
🟢исследование по «квантовым» атакам на ECDLP;
🟢работу, в которой продемонстрирована возможность атаки на RSA-2048 при помощи квантового компьютера с менее чем 10 тыс. «переконфигурируемых» кубитов;
🟢продолжающиеся работы по оптимизации алгоритмов Шора и Регева.

О том, что со всем этим делать организациям, мы уже писали в блоге.

#советы #новости @П2Т

🗿 Уязвимости open source теперь касаются каждого бизнеса

Раньше только производители ПО или крупные компании должны были волноваться о том, каким сторонним кодом пользуется команда разработки. Но цифровая трансформация и внедрение ИИ-помощников привело к тому, что разработкой в том или ином виде теперь занимаются даже микробизнесы. Может, это какой-то простой внутренний сервер отчётов, ИИ-агент, помогающий разбирать почту, или самостоятельно сделанный сайт-визитка. Но это всё равно разработка. И в ней почти всегда используются компоненты open source.

Ситуация с этими компонентами за последний год стала неспокойной. Мы уже писали на днях о крупнейших инцидентах 2025 года, а также о детективной истории с компрометацией разработчика сверхпопулярного Axios. ВПО, кража секретов, программные уязвимости, и просто более неподдерживаемые компоненты могут поджидать в любом реестре и в любом компоненте — от нишевых до сверхпопулярных.

Эти неприятные события происходят на фоне накапливающихся системных проблем в управлении уязвимостями open source. В Sontype посчитали, что 65% open-source-уязвимостей, получивших идентификатор CVE, не имеют оценки критичности (CVSS) в базе NVD, причём 46% из них получили бы высокую оценку критичности. Дефицит корректных данных проявляется не только в этом. Многие CVE неверно описаны, устаревшие версии компонентов не отмечаются как подверженные этим уязвимостям и определяются многими сканерами как чистые. В цепочках зависимостей очень сложно вылавливать компоненты End of Life, их по оценкам в типичном проекте до 15%. Один только Log4j в устаревшей версии, подверженной Log4Shell, за прошлый год скачали 40 млн (!) раз.

Более подробно вопрос систематических проблем сбора данных, оценки и приоритизации уязвимостей open source описан в блоге. Там же разобрали, как усложняет ситуацию написание кода ИИ-системами.

В общем, либо прилетит Дед Мороз инопланетяне ИИ-модель Mythos в голубом вертолёте и починит весь уязвимый софт за нас, либо (что менее реалистично) организации начнут системно внедрять гигиену open source. Её основные принципы мы подробно изложили во втором посте.

#советы #opensource @П2Т

💾 Компрометация через CPU-Z / HWMonitor

Эксперты «Лаборатории Касперского» проанализировали атаку, в которой на легитимном сайте cpuid[.]com разместили ссылки на троянизированные инсталляторы популярных утилит CPU-Z, HWMonitor, HWMonitor Pro и Perfmonitor 2. Атака продолжалась менее суток, с 9 по утро 10 апреля.

Злоумышленники ограничились минимальным вмешательством в официальный сайт и просто заменили ссылки — вредоносное ПО было размещено на сторонних ресурсах. Инсталлятор по ссылке содержал настоящую, немодифицированную утилиту, а также дополнительную вредоносную библиотеку, которая загружалась по технологии DLL sideloading и разворачивала в системе жертвы STX RAT. Это ВПО даёт атакующему скрытный удалённый доступ к компьютеру жертвы (HVNC), позволяет красть широкий спектр учётных данных, а также загружать и запускать дополнительные вредоносные модули. Ранее то же ВПО распространялось через сайты-двойники популярных утилит вроде FileZilla, но здесь злоумышленники подняли планку и скомпрометировали официальный сайт. При этом они не стали обновлять ни вредоносный код, ни свои домены, поэтому атаку удалось обнаружить и остановить достаточно быстро.

Пользователи, загружавшие сегодня и вчера утилиты с сайта cpuid, должны проверить свою систему на признаки компрометации и провести реагирование. В организациях это проще всего сделать, проверив историю DNS-запросов и просканировав диски для поиска вредоносных инсталляторов.

Подробности и индикаторы компрометации опубликованы на Securelist.

#новости @П2Т

🤨 Интересные исследования APT за неделю

▶️ Статистика финансовых киберугроз за 2025 год. Отмечен существенный рост инфостилеров на ПК по всему миру (+59%), в полтора раза чаще детектировали и мобильное банковское ВПО. В даркнете можно купить доступ к миллиону (буквально) скомпрометированных банковских аккаунтов. Печально лидируют тут Индия, Испания и Бразилия.

🟢Анализ CMoon — .NET‑червя, применявшегося против российских компаний химпрома и муниципалитетов хактивистской групировкой RGB-Team. Прослеживается связь с конструктором DarkBuilder и вымогательской группой Eternity. RGB-Team фокусируется на краже и публикации данных, а не шифровании.

🔵Разбор ранее неизвестного шпионского фреймворка Canis C2, используемого для управления имплантами на всех настольных и мобильных платформах. Кампания нацелена на Японию.

🔵Совместное заявление американских спецслужб подтвердило, что группа CyberAv3ngers атакует подключённые к интернету ПЛК Rockwell Automation/Allen‑Bradley на объектах водоснабжения/водоотведения и в энергетике. Атакующие модифицируют проектные файлы и взаимодействуют с интерфейсами HMI/SCADA, провоцируя нарушения технологических процессов и финансовый ущерб.

🟣Кампания Magecart скомпрометировала около 100 магазинов на платформе Magento/Adobe Commerce, внедрив код, ворующий платёжные карты, в элемент SVG размером 1 пиксель. Для взлома, по оценке исследователей, могла быть использована PolyShell — уязвимость неограниченной загрузки файлов в Magento.

🪲 Разбор атаки «на водопой» через сайт cpuid.com. Ссылки на установку популярных утилит CPU-Z и HWMonitor были заменены на троянские, финальной нагрузкой выступал STX RAT. Атака продолжалась менее суток.

🔵Расследование полугодичного вторжения Shedding Zmiy/(Ex)Cobalt в российскую госорганизацию. Атакующие сохраняли доступ, повторно используя учётки удалённого доступа уже уволенных сотрудников.

🟠В кампании APT-Q-27/ GoldenEyeDog/Dragon Breath, которая обычно атакует игорные бизнесы в ЮВА, примечательно использование EV‑сертификата DigiCert, который выдан всего за 5 дней до публикации ВПО.

🟣Разбор атак CapFix на промышленный и аэрокосмический сектор в РФ, США и Европе с помощью ВПО CapDoor и SectopRAT.

🟣Технический анализ скоростных атак APT Storm-1175 с разворачиванием шифровальщика Medusa. Злоумышленники эксплуатируют уязвимости N‑day в первые дни после публикации. Среди жертв — медицинские, финансовые и консалтинговые компании в Австралии, Великобритании и США.

⚪️Технический анализ очень длинной цепочки заражения ВПО ClipBanker, которое подменяет адреса криптокошельков в буфере обмена на адреса атакующих. Известные жертвы — преимущественно в Индии и Вьетнаме.

🟢Массовая кампания Frostarmada по перехвату запросов DNS через заражение роутеров для малого офиса. При обращении к страницам аутентификации различных сервисов заражённый роутер подсовывал жертве фишинговую страницу. Исследователи предполагают, что кампания шпионская и её организаторы фильтровали полученные учётки в поисках интересных им жертв. Основная география — Северная Африка, Центральная Америка и ЮВА.

🟢Разбор многоэтапной кампании с доставкой ВПО LucidRook, написанного на Lua. ВПО работает только на системах в Тайване.

#дайджест #APT @П2Т

✔️ Защищаем инструменты ИБ

Любая часть ИТ-инфраструктуры, позволяющая централизованно видеть узлы сети и управлять ими, будет приоритетной мишенью злоумышленников. Глубокая эшелонированная защита нужна не только Active Directory, но и консоли управления СЗИ. Ведь при её компрометации атакующий получит доступ к централизованной настройке политик, мониторингу состояния конечных точек инфраструктуры и многому другому. Чтобы снизить вероятность такого события, важны безопасные настройки консоли управления.

Многие компании в своих программах харденинга упускают консоль СЗИ из внимания — кажется, что раз это инструмент ИБ, то он защищён по умолчанию. На самом деле усилить защиту можно и нужно на нескольких уровнях: от установки средства администрирования на выделенный сервер (отличный от доменного контроллера, терминального сервера, и т.п.) и корректной настройки межсетевого экрана до принудительной многофакторной аутентификации и минимизации числа администраторов. Плюс интеграция с SIEM, харденинг ОС на сервере и многое другое.

Подробнее о харденинге средств управления написали в блоге, а для Kaspersky Security Center даже подготовили удобный чеклист.

#советы @П2Т

🗣 Киберугрозы в РФ: уроки и выводы из инцидентов за год

Критические инциденты и вторжения в российские организации, с которыми столкнулись специалисты Kaspersky Security Services в 2025 году, демонстрируют растущую квалификацию атакующих. Злоумышленники используют длинные цепочки техник, атакуют субподрядчиков жертвы и всё чаще действуют вручную, что усложняет обнаружение угроз и реагирование на них.

Мы собрали уроки 2025 года в подробный отчёт, который позволяет детально разобраться, кто атакует компании, какие методы используются и как выявлять эти угрозы до того, как они приведут к серьёзному инциденту.

Уже послезавтра, 16 апреля, вы можете узнать ключевые выводы этого отчёта и задать вопросы авторам!

Сергей Солдатов, руководитель центра мониторинга кибербезопасности, и Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, расскажут:

▶️какие атаки представляли наибольшую опасность для бизнеса;
▶️какие TTPs хакеры стали использовать чаще;
▶️как выстраивать процессы обнаружения и реагирования;
▶️какие меры действительно помогают повысить киберустойчивость.

Встречаемся в четверг: 16 апреля 2026 в 11:00 (МСК).
Нужна предварительная регистрация.

Все участники получат полную версию отчёта!

Зарезервировать место на вебинаре ⟶

#события @П2Т

💻 Апрельский вторник патчей: цунами обновлений Windows

Microsoft выпустила один из крупнейших пакетов обновлений в своей истории, закрыв 163 уязвимости в своих продуктах. Если посчитать ещё и большой пакет устранённых дефектов в стороннем софте, например, в Chromium, то апрельский счёт патчей приближается к шокирующей отметке 250. С учётом успехов ИИ в поиске уязвимостей, к таким цифрам теперь видимо придётся привыкать.

Одна уязвимость эксплуатировалась до раскрытия, одна была досрочно разглашена, ещё 8 относятся к критическим. Абсолютное большинство багов (131) устранены в Windows, далее следует Office с дюжиной ошибок.
93 уязвимости приводят к повышению привилегий, 20 — к исполнению произвольного кода, 20 — утечкам информации, 12 — к обходу функций безопасности, 9 — DoS, 8 — spoofing.

Уязвимости нулевого дня
В живой природе выловили CVE-2026-32201 (CVSS 6.5) в SharePoint, которая приводит как раз к спуфингу. Редмонд исключительно лаконичен в описании уязвимости, отмечая только что атакующие могут получить доступ информации или изменить её. Где эксплуатировалась, кто её нашёл — ни слова.

Примечательна также CVE-2026-33825 (CVSS 7.8), приводящая к повышению привилегий через Defender. Её разгласили до устранения, потому что исследователь и Microsoft не смогли договориться о порядке разглашения и важности дефекта. Учитывая наличие PoC на GitHub, пользователям Defender стоит поторопиться с обновлениями.

Критические дефекты

В обновлении есть две неприятных уязвимости, работающие по сети и не требующие действий жертвы.
CVE-2026-33827 — это RCE в TCP/IP (должны быть активны IPv6 и IPSec), а CVE-2026-33824 — RCE в службе Windows Internet Key Exchange (IKE). Первая потянула на CVSS 8.1, а вторая аж на 9.8.

Не обошлось и без RCE в Office (CVE-2026-32190 -33114 -33115, все CVSS 8.4), работающих в том числе из панели предварительного просмотра. Снова умоляем её уже отключить наконец.

#новости #Microsoft @П2Т

🤝 Когда продукты работают вместе: MDR 3.0

Обновили решение Managed Detection and Response до версии 3.0. В этом релизе мы сфокусировались на трёх ключевых направлениях: более тесной интеграции продуктов, расширении покрытия MDR и улучшении пользовательского опыта. Это означает меньше ручных действий, быстрее передачу данных и более слаженное взаимодействие инструментов и команд.

В результате MDR объединяет процессы обнаружения, анализа и реагирования в единый поток и сокращает время от выявления угрозы до её устранения. На практике это означает:
🟣сквозной сценарий EDR - MDR: передача инцидентов в один клик и ускоренная эскалация;
🟣автоматическая передача файлов аналитикам MDR из Kaspersky Anti Targeted Attack 8.0 и Kaspersky EDR Expert 8.0;
🟣передача инцидентов в команду Kaspersky Incident Response для оперативного подключения экспертов;
🟣более детализированная телеметрия из Kaspersky Endpoint Security for Linux для контейнерных сред;
🟣 экспорт инцидентов в SIEM KUMA 4.0 для дополнительного анализа.

Также улучшили пользовательский опыт:
🔵расширенные уведомления в Telegram с более подробной информацией об инцидентах;
🔵оптимизация MDR-портала для смартфонов и планшетов - доступ к инцидентам в любое время.

Дополнительно расширено покрытие MDR: платформа теперь поддерживает встраиваемые системы за счёт интеграции с Kaspersky Embedded Systems Security 4.0.

В итоге MDR становится связующим звеном между продуктами и командами, снижая фрагментацию инструментов и ускоряя полный цикл обработки инцидентов.

▶️Подробнее об обновлениях
▶️Запланировать пилот

#MDR #события @П2Т

🔥 Четвёртые сутки вторую неделю пылают споры про Mythos

Насколько мощная эта модель на самом деле, можно ли делать тоже самое с опенсорсной квантизированной Llama, когда поломают банковские мейнфреймы IBM, а главное, что делать посреди этого цирка CISO организации, не относящейся к Fortune 500?

Не претендуя на полный обзор темы, соберём несколько полезных мыслей, практических рекомендаций и неочевидных нюансов.

1️⃣Появление продвинутых ИИ-моделей, ищущих уязвимости, уже сейчас (до Mythos) значительно увеличило количество находимых дефектов и патчей. Mythos и его последователи лишь ускорят и масштабируют этот процесс. Это главное, к чему нужно подготовиться организациям — увеличение количества, сложности и частоты обновлений всего ПО и инфраструктуры. На патч-менеджмент и управление уязвимостями придётся выделять дополнительные ресурсы и делать их приоритетом ближайших лет. И конечно приоритизация уязвимостей начинает играть новыми красками.

2️⃣При этом с помощью ИИ можно ковыряться в коде, на который у топовых живых экспертов просто не хватало времени: прошивках экзотического оборудования, проприетарных протоколах, глубоко устаревшем коде ПО. Если раньше в банковских мейнфреймах разбиралось сто человек в мире и находили одну уязвимость в десятилетие, то теперь картина может измениться. Поэтому болезненные обновления, полную изоляцию или списание этого оборудования тоже придётся вытащить из бэклога и начинать принимать меры. Или начать переписывать риск-модели и повышать оценку вероятности простоев.

3️⃣Значительно сгладить асимметрию атаки и защиты могло бы внедрение автономного агентского ИИ в процессы управления уязвимостями и обновлениями. Но хороший ИИ, который ходит ругаться к главному технологу за окно обновления ПО, ещё предстоит создать.

4️⃣Ещё одна скучная, но актуальная вещь касается атак, в которых ИИ-модель класса Mythos непосредственно продвигается по сети жертвы. В текущих тестах и полигонах атакам ИИ не оказывают противодействия, поэтому весьма вероятно, что модель проводит атаки шумно, вызывает срабатывание многочисленных СЗИ, и останавливается теми же инструментами, которые эффективны против атак LotL. Поэтому инвестиции в знакомые меры защиты — от 2FA и принципа наименьших привилегий до allowlisting и XDR — сильно повышают устойчивость организации в том числе к ИИ-атакам.

Про эти скучные меры хорошо расписано в экстренном обзоре Cloud Security Alliance The “Ai Vulnerability Storm”: Building a Mythos-ready” Security Program. (pdf)

5️⃣Возможности модели известны мало кому, но понятно, что они решающим образом зависят от бюджета. На сложных задачах значительный отрыв Mythos от предшественников виден только при огромных затратах на токены (бюджет 100 млн токенов). Это доказывает способности модели, но ограничивает масштаб её применения.

6️⃣Mythos вероятно является шагом вперёд в качестве поиска уязвимостей, но не революцией. Значительные успехи в ИИ-поиске уязвимостей уже продемонстрировали XBOW, Aisle и другие компании. Поиск уязвимостей при помощи ИИ зависит не только и не столько от качества модели, а от организации всего процесса: широкое сканирование кода в поисках интересных мест, глубокий анализ потенциальных уязвимостей, оценка критичности и возможности проэксплуатировать, построение и применение корректного патча. Далеко не все этапы требуют мощного ИИ, кое-где его роль вообще минимальна.

#советы @П2Т

Интересные исследования APT и новости ИБ за неделю

📌 Руководство по детектированию AdaptixC2 — фреймворка постэксплуатации, имеющего открытый исходный код и встречающегося и в операциях вымогателей, и у APT. Фреймворк поддерживает несколько каналов связи, включая TCP/mTLS, SMB, DNS, и DoH, для эффективного обнаружения необходимо сочетать телеметрию сети и конечных точек.

🟢Агрессивное рекламное ПО (adware) от Dragon Boss Solutions содержит скрытую нагрузку на PowerShell, которая отключает антивирусную защиту. По данным исследователей, заражено около 23 тыс. систем в 124 странах, в том числе 41 OT‑сеть.

🟣Статистика киберугроз в промышленности за 4‑й квартал 2025: ВПО была заблокирована на 19,7% ICS‑хостов по миру. Главным инцидентом квартала стал червь Backdoor.MSIL.XWorm, обнаруженный во многих странах и распространявшийся через фишинговые письма под видом резюме соискателей. Зловред обеспечивает удалённое управление компьютером.

🔵LLM-шлюзы не просто могут проводить атаки MitM, а уже это делают. Исследователи обнаружили 28 вредоносных API-прокси для доступа к LLM, которые перехватывают и модифицируют трафик между корпоративными системами и ИИ‑провайдерами.

🔵Анализ банковского зловреда JanelaRAT, атакующего пользователей Windows в Бразилии и Мексике. В числе прочего он отслеживает периоды бездействия пользователя, чтобы точно рассчитать время мошеннических транзакций и обхода MFA.

🔵Разбор TTPs вымогательской группировки Payouts King, которая использует виртуалки QEMU для маскировки вредоносных файлов. Первичный доступ обеспечивается через уязвимости SonicWall, Citrix NetScaler и SolarWinds Web Help.

🟣Технический анализ кампании APT37, нацеленной на частных лиц, интересующихся оборонной тематикой. Приманки были замаскированы под военную документацию, требующую «особую программу просмотра PDF» и распространялись через личные сообщения в мессенджерах и соцсетях.

🟢Разбор кампании Stardrop — злоумышленники опубликовали более 200 вредоносных npm‑пакетов под видом ИИ‑инструментов для разработчиков. В реальности ПО конечно крадёт API-ключи и другие секреты. Такими темпами open source в его текущем виде скоро умрёт, качать что-либо новое из публичных репозиториев становится боязно.

🟠Технический анализ загрузчика JitterDropper, написанного на Rust. В известных кампаниях это ВПО в дальнейшем устанавливает жертвам Vidar Stealer.

🟣В Chrome Web store обнаружены ещё 108 вредоносных расширений Chrome с общей инфраструктурой C2 и 20000 установок. Они маскируются под клиенты Telegram и различные утилиты, но на деле воруют токены Google OAuth2‑токены и сессии Telegram Web. Также ВПО может открывать произвольные URL при старте браузера.

#дайджест #APT @П2Т